Direkte til sidens indhold

PET og FE’s uhæmmede datafest – og hvordan kontrollen med spiontjenesterne er tilbagerullet

Formand for IT-politisk Forening, Jesper Lund, dykker i denne blog dybt for at åbenbare de sprækker i historien om PET og FE, der fortæller om et politisk system og et spionvæsen med en uhæmmet tørst på mere data og et stadig mere spinkelt mandat til at føre kontrol og tilsyn med tjenesterne.

Fotograf: Andreea Belu

FE-skandalen har gjort de danske efterretningstjenester til et sprødt emne i snakken ved middagsbordene. Men hvordan er vi endt der, hvor de hemmelige tjenesters mest skrøbelige og hemmelige kapaciteter er blevet forsidestof? Her er et tilbageblik og en slags fremskrivning af, hvordan tjenesternes enorme tørst på data i stigende grad ramler ind i det demokratiske behov for kontrol og tilsyn med Danmarks spioner.

Den 1. januar 2014 trådte de nye love om Politiets Efterretningstjeneste (PET-loven) og Forsvarets Efterretningstjeneste (FE-loven) i kraft. I forhold til tjenesternes opgaver og beføjelser skete der ikke de store ændringer med de to love, idet tidligere administrative bestemmelser blev erstattet af en lovhjemmel. Den primære nyskabelse var en styrkelse af det uafhængige tilsyn med oprettelsen af Tilsynet med Efterretningstjenesterne (TET), som skal føre tilsyn med tjenesternes behandling af personoplysninger (hos FE dog kun for personoplysninger om danske borgere).

Dataindsamling og informationsanalyser er en central opgave for alle efterretningstjenester, også FE og PET. Sammenlignet med andre offentlige myndigheder, herunder politiet, har FE og PET en meget lav tærskel for indsamling af personoplysninger. Hovedreglen er ”kan have betydning-kriteriet”, som giver hjemmel til at indsamle oplysninger, medmindre det på forhånd kan udelukkes, at oplysningerne har relevant for tjenesten.

FE skal som udenrigsefterretningstjeneste beskæftige sig med forhold i udlandet, og ved elektronisk indhentning af rådata må oplysninger om danske borgere kun komme FE i hænde som tilfældighedsfund, men derudover er der ingen reelle begrænsninger for FE. Folketinget har helt bevidst overladt alle beslutninger vedrørende FE’s indhentningsmetoder til FE selv. PET er underlagt lidt flere begrænsninger, idet oplysninger tilvejebragt ved tvangsindgreb, eksempelvis telefonaflytninger, skal ske efter retsplejelovens bestemmelser. Indhentning fra åbne kilder (OSINT) er ikke et tvangsindgreb i retsplejelovens forstand, så her har både FE og PET frit spil. Det kan være sociale medier eller oplysninger som kan erhverves fra databrokere på kommercielle vilkår.

Når FE og PET har en vidtgående adgang til informationsindsamling, er det vigtigt at der sker en bearbejdning og sortering af denne information, og at oplysninger hurtigt slettes, hvis de ikke er nødvendige for tjenesternes arbejde. I modsat fald er der en overhængende risiko for informationsophobning og opbygning af store ”Big Brother” registre, som primært domineres af uskyldige borgere. FE- og PET-loven har derfor en højere tærskel for den løbende behandling og opbevaring af personoplysninger. I 2014-lovene var der desuden en eksplicit forpligtelse til løbende at gennemgå registrene og slette de personoplysninger, som ikke længere opfylder betingelserne for behandling, eksempelvis fordi oplysningerne er forældede.

Siden 2014 er udviklingen gået i en anden retning end de gode intentioner om at beskytte borgernes privatliv og andre grundlæggende rettigheder. Væsentlige retsgarantier i PET- og FE-loven er blevet udvandet, fordi de var for ”besværlige” for tjenesterne. Når TET har vist sig at være mere effektiv end forventet, har reaktionen fra regeringen og tjenesterne været at køre TET ud på et sidespor, enten via lovændringer eller administrativ praksis. Senest har regeringen fremlagt en rapport om erfaringerne med PET-loven, hvor der er meget konkrete overvejelser med inspiration fra Storbritannien om indhentning af store datasæt, blandt andet med direkte adgang til udvalgte myndigheders registre.

Informationsophobning ved lov fra 2017

Kravet om at PET løbende skulle gennemgå sine registre og slette oplysninger, der ikke længere var nødvendige, var sådan set ikke en ny forpligtelse for PET. Før PET-loven af 2014 havde det fremgået af administrative bestemmelser fra 2009, hvilket omtales på side 200 i betænkningen om PET og FE fra Wendler Pedersen-udvalget. Det nye var måske, at TET meget aktivt begyndte at føre tilsyn med, om PET rent faktisk slettede personoplysninger, når de ikke længere var nødvendige.

I årsredegørelserne vedr. PET for 2014 og 2015 kritiserer TET således, at PET i betydeligt omfang ikke har slettet oplysninger, der ikke længere er nødvendig for varetagelsen af tjenestens opgaver. TET kritiserer ligeledes, at PET ikke har igangsat den ”styrede dynamiske revision”, som efter tilsynets opfattelse er nødvendig for at overholde PET-lovens krav om løbende sletning. I forbindelse med årsredegørelsen for 2014 havde TET gjort Justitsministeriets opmærksom på problemstillingen, men denne henvendelse blev ikke besvaret.

Justitsministeriet valgte en helt anden løsning end at beordre PET til at overholde PET-loven, hvilket ellers burde være det åbenlyse valg i en retsstat. Ikke mindst fordi kravet om løbende sletning er en væsentlig retsgaranti i forhold til PET’s brede adgang til informationsindsamling. Daværende justitsminister Søren Pind fremsatte i stedet et lovforslag, som basalt set lovliggjorde PET’s ulovlige praksis med manglende sletning.

Forpligtelsen til løbende at gennemgå personoplysninger i PET’s registre blev ophævet. Hvis PET i forbindelse med tjenestens øvrige opgaver stødte på oplysninger, der ikke længere var nødvendige, skulle disse dog slettes, men ikke hvis oplysningerne indgik i et dokument med andre oplysninger, som ikke skulle slettes. Sletning skulle alene ske på dokumentniveau, hvis ingen af oplysningerne i dokumentet opfyldte betingelserne for fortsat behandling. Som begrundelse for dette anførte Justitsministeriet i lovbemærkningerne, at PET’s IT-platform ikke understøttede sletning på oplysningsniveau, kun dokumentniveau. Overholdelse af PET-lovens krav om sletning ville angiveligt koste 75 mio. kr. om året.

Høringssvaret fra TET gjorde det klart, at lovændringen ville have vidtgående konsekvenser for borgernes retssikkerhed. Betingelserne for PET’s behandling af personoplysninger blev i praksis sat ud af kraft, da PET stort set aldrig ville være forpligtet til at slette oplysninger, som ikke længere var nødvendige. PET ville kun være forpligtet til at overholde de absolutte slettefrister på typisk 10-15 år fremover. TET havde siden opstarten i 2014 i betydeligt omfang fokuseret på at føre tilsyn med behandlingsbetingelserne, og dette arbejde ville være overflødigt fremover.

Informationsophobningen hos PET var dermed sikret ved lov, og regeringen havde sammen med PET meget effektivt kørt TET ud på et sidespor. I de efterfølgende årsredegørelser kunne TET dog konstatere, at PET også havde voldsomme problemer med at overholde de absolutte slettefrister.

Efter ”succesen” med at fjerne væsentlige retsgarantier i PET-loven blev der et par måneder senere lavet en tilsvarende ændring af FE-loven, selv om FE ikke havde problemer med at overholde de eksisterende regler for sletning i FE-loven.

Striden om FE’s indhentning af rådata

Den 24. august 2020 udsendte TET en pressemeddelelse, som mildest talt sendte chokbølger gennem det danske politiske landskab. På grundlag af materiale modtaget fra én eller flere whistleblowere vurderede TET, at der ved centrale dele af FE’s indhentningskapaciteter var risiko for uberettiget indhentning mod danske borgere. Materialet indikerede også, at FE før 2014 havde igangsat operationelle aktiviteter i strid med dansk lovgivning, herunder indhentning og videregivelse af en betydelig mængde oplysninger om danske borgere.

Nyhedsmedierne kunne ret hurtigt berette, at sagen drejede sig om et samarbejde med NSA om tapning af centrale kommunikationskabler på dansk jord. Dagbladet Information kunne allerede i 2014 berette om et samarbejde mellem FE og NSA om tapning af fiberkabler (RAMPART-A) på grundlag af Snowden afsløringerne. Uanset at Information i 2014 fremlagde et talepapir, hvor NSA-chefen Keith Alexander takker Danmark for det langvarige partnerskab om kabeladgang, er samarbejdet med NSA aldrig blevet officielt bekræftet af den danske regering. I hvert fald ikke indtil september 2020, hvor tidligere forsvarsminister Claus Hjort Frederiksen bekræftede den offentlige hemmelighed.

I maj 2021 kunne DR afsløre, at materialet fra whistlebloweren stammede fra en intern FE-undersøgelse af samarbejdet med NSA (Dunhammer-rapporten). Ifølge denne undersøgelse havde NSA udført omfattende aflytning mod Danmarks nabolande, herunder den tyske forbundskansler, Angela Merkel. Aflytning af regeringer i Danmarks nabolande kan givetvis blive en stor politisk skandale, men det kan ikke være årsagen til TET’s kritik i august 2020. I forhold til Angela Merkel og andre udlændinge er alt tilladt efter FE-loven, og TET fører kun tilsyn med FE’s behandling af personoplysninger om danske borgere.

Tapning af kommunikationskabler på dansk jord giver imidlertid en række juridiske udfordringer i forhold til FE-loven. Selv om FE har meget vide rammer for elektronisk indhentning af rådata, er der i FE-lovens et krav om, at danske borgere kun må blive medtaget i datahøsten som såkaldte tilfældighedsfund. Elektronisk indhentning direkte rettet mod danske borgere er kun tilladt, hvis de opholder sig i udlandet og udgør en terrortrussel mod Danmark. Derudover skal FE have en retskendelse for den målrettede indhentning mod danske borgere.

Det er ikke specielt klart hvordan kravet om tilfældighedsfund skal fortolkes i forhold til elektronisk indhentning. Forarbejderne til FE-loven giver et par eksempler på tilfældighedsfund (omtalt på side 454 i betænkningen), som virker forholdsvist restriktive, specielt i forhold til tapning af kommunikationskabler på dansk jord. Derudover findes der sikkert interne FE-retningslinjer og juridiske notater hos TET, men dem har offentligheden ikke adgang til.

Det bedste bud baseret på den tilgængelige information er, at kravet om tilfældighedsfund søges overholdt ved hjælp af selektorer og supplerende filtre, som frasorterer kommunikation til eller fra danske borgere. Elektroniske indhentning foregår ved, at den fulde datastrøm i et kommunikationskabel kopieres til et IT-system hos efterretningstjenesten, hvor udvalgte dele af datastrømmen gemmes som rådata til senere analyse ved brug af selektorer (søgetermer), mens den del af datastrømmen, som ikke matcher selektorer, smides væk. En selektor kan være specifikke søgetermer som et telefonnummer, emailadresse eller IP-adresse, men selektorer kan også være mere komplekse forespørgsler, som udvælger en større mængde kommunikation, for eksempel kommunikation fra bestemte geografiske områder.

I forbindelse med det tyske RAMPART-A program (Operation Eikonal) udviklede efterretningstjenesten BND et særligt program (DAFIS), som skulle filtrere tyske borgeres kommunikation. Dette program fungerede imidlertid ikke perfekt, og mellem 1% og 5% af den tyske kommunikation blev ikke bortfiltreret, og der skete således ulovlig indhentning mod tyske borgere i et ganske betydeligt omfang. Meget tyder på, at FE har haft de samme udfordringer med dansk kommunikation. I et interview med TV2 omtaler Claus Hjort Frederiksen nemlig filtre ”så danskere eller danske ip-adresser ikke smutter igennem”, og at FE løbende arbejder med at forbedre disse filtre.

En fortælling om kabeltapning på dansk jord og filtre for danske borgeres kommunikation, som ikke fungerer tilstrækkeligt godt, er nok den mest sandsynlige forklaring på at TET i august 2020 vurderede, at der blev foretaget uberettiget indhentning mod danske borgere. Men det er bestemt ikke den eneste mulige forklaring.

FEUK gør mysteriet og mørklægningen total

Hvad der virkelig er foregået hos FE får vi (offentligheden) formentlig aldrig opklaret. Mysteriet er blev bestemt ikke mindre efter at FE-kommissionen (FEUK) afleverede sin beretning i december 2021. I den meget kortfattede offentlige sammenfatning kommer FEUK til den stik modsatte konklusion af TET: ”Kommissionen har ved sin undersøgelse fundet, at der ikke er grundlag for at antage, at FE generelt har indhentet og videregivet oplysninger om danske statsborgere i strid med loven.”

Det sætning kan læses på flere måder, specielt ordet generelt, og derudover refererer FEUK’s konklusion til et kommissorium, som er hemmeligt. Det er dog påfaldende, at TET og FEUK angiveligt på grundlag af det samme materiale kan komme til så vidt forskellige konklusioner om FE’s overholdelse af FE-loven, men fordi alt er hemmeligt, er det svært at komme med andet end spekulationer om de mulige årsager.

På baggrund af FEUK’s hemmelige beretning har TET imidlertid besluttet at indstille alle kontroller med FE’s indhentning af rådata. Kontrolarbejdet vil først blive genoptaget, når forsvarsministeren har afklaret tilsynets kompetenceområde, skriver TET i årsredegørelsen vedr. FE. Det er på mange måder paradoksalt, at et formelt uafhængigt tilsyn ligefrem skal have tilladelse fra den øverste chef for FE (forsvarsministeren) for at føre kontrol med FE, men det er i virkeligheden en rammende beskrivelse af kontrollen med de danske efterretningstjenester, og hvordan den meget ”effektivt” kan køres ud på et sidespor.

Selv om TET har indstillet kontrollen med væsentlige dele af FE’s aktiviteter, afviser Forsvarsministeriet, at der er et hul i kontrollen. Til DR udtaler ministeriet, at FE skal sikre, at der ikke uberettiget sker målrettet indhentning mod danske borgere.

I værste fald betyder Forsvarsministeriets udtalelser, at FE-loven ikke er til hinder for indhentning af rådata om danske borgere, men at FE ikke aktivt må foretage søgninger efter danske borgere i de indhentede rådata (målrettet indhentning), i hvert fald ikke medmindre de pågældende personer opholder sig i udlandet og udgør en terrortrussel. Hvis FE videregiver rådata til eksempelvis NSA, vil NSA imidlertid ikke være underlagt de samme begrænsninger om målrettede søgninger efter danske borgere. Alene af den grund har indhentning af rådata og kontrollen hermed stor betydning for borgernes retssikkerhed, i modsætning til hvad Forsvarsministeriet giver udtryk for i kommentaren til DR. Derudover udfører FE jævnligt ulovlige søgninger efter danske borgere i tidligere indhentede rådata ifølge TET’s årsredegørelser.

Om FE-loven virkelig skal fortolkes på den måde ved vi ikke. Den reelle begrundelse for at TET indstiller kontrollen med FE’s indhentning af rådata skal findes i FEUK’s beretning, og den er hemmelig. Men hvis TET ikke må føre kontrol med FE’s indhentning af rådata, bliver mørklægningen af FE’s beføjelser nærmest total. TET’s årsredegørelser er en af de bedste kilder til at forstå FE-loven.

Fremtiden: nye beføjelser om indhentning af rådata til PET?

Rapporten om erfaringerne med PET offentliggjort i juni 2022 har i afsnit 12 en række overvejelser om, hvordan PET-loven kan understøtte en ”data- og analysedrevet efterretningsvirksomhed”. PET har allerede styrket dette område ved at anskaffe en analyseplatform, der ”hurtigt og effektivt at finde, samkøre og visualisere data og viden.” Navnet på denne analyseplatform er ikke nævnt i rapporten, men det er givetvis Palantir Gotham-systemet, som PET anskaffede i 2016 under navnet PET-INTEL samtidig med, at Rigspolitiet købte POL-INTEL fra Palantir Technologies.

Overvejelserne i afsnit 12 er tydeligvis inspireret af FE-loven, hvor indsamling af rådata til senere analyse har en central rolle. FE-loven tillader opbevaring af rådata i op til 15 år. PET har for nærværende ikke helt de samme muligheder for at opbevare rådata til uspecificerede formål, fordi der er en slettefrist på 4 uger for de såkaldte transitsystemer, hvor ubearbejdede rådata vil blive opbevaret. Denne slettefrist fremgår imidlertid alene af PET-bekendtgørelsen, som justitsministeren uden videre kan ændre.

Justitsministeriet har modtaget input fra to uafhængige efterretningseksperter med erfaring fra henholdsvis de norske og britiske efterretningstjenester. De to eksperter anbefaler, at PET udvikler en ”Bulk Personal Data” kapacitet. Den britiske lovgivning giver efterretningstjenesterne (både indenrigs og udenrigs) hjemmel til at forlange store datasæt udleveret fra private virksomheder og offentlige myndigheder. EU-Domstolen tog stilling til et bulk data program fra Storbritannien i oktober 2020 i Privacy International-sagen og fandt at efterretningstjenesters generelle og udifferentierede indhentning af teledata var i strid med EU’s Charter om Grundlæggende Rettigheder.

Bulk data-kapaciteter skal ses i sammenhæng med den stigende brug af kunstig intelligens (AI) systemer, som på politi- og efterretningsområdet blandt andet bruges til at identificere ukendte ”personer af interesse” (målpersoner) ud fra omfattende dataanalyser. Præmissen for disse analyser er, at man kan finde nålen i høstakken (den ukendte terrorist), hvis blot høstakken bliver tilstrækkelig stor. Europol-forordningen er for nylig blevet revideret med henblik på at understøtte denne type analyser med store datasæt. Konsekvensen bliver ret hurtigt masseovervågning, hvor alle borgere sættes under mistanke baseret på den risikoscore, som en data-mining algoritme tildeler dem. Alt dette foregår i dybeste hemmelighed, uden at borgerne ved hvilke personoplysninger der behandles, og uden at borgerne har nogen mulighed for at få forkerte personoplysninger, som kan påvirke algoritmerne, berigtiget.

Afsnit 12 i rapporten skitserer hvordan PET-loven kan tilpasses for yderligere at understøtte denne type dataanalyser. Det handler om mere lempelige sletteregler, således at de store datasæt kan opbevares i endnu længere tid. De store ubearbejdede datasæt skal desuden undtages fra PET-lovens behandlingsbetingelser indtil det tidspunkt, hvor PET vælger at udtage oplysninger om konkrete personer til en undersøgelse eller efterforskning. Det vil primært have betydning i forhold til den indirekte indsigtsordning, hvor borgerne kan få TET til at kontrollere, om PET uberettiget behandler personoplysninger om dem. I alle andre sammenhæng er PET-lovens behandlingsbetingelser allerede de facto ophævet med lovændringen i 2016.

Det er bemærkelsesværdigt, at afsnit 12 i rapporten omtaler behovet for mere ”intern kontrol og ekstern tilsyn”, når PET får en udvidet bulk data kapacitet, men de konkrete forslag i samme afsnit indebærer en yderligere udvanding af den uafhængige kontrol med PET. Det vil være konsekvensen, hvis PET-lovens behandlingsbetingelser og muligheden for at bruge den indirekte indsigtsordning kun skal gælde i forhold til sager med egentlige undersøgelser og efterforskninger, og altså ikke i forhold til de store datamængder, som PET i øvrigt måtte have indsamlet om borgeren.

Direkte adgang til udvalgte myndighedsregistre

Det store spørgsmål er naturligvis, hvordan PET skal komme i besiddelse af store datasæt, og hvilke typer datasæt der er tale om. Det eneste konkrete eksempel, som gives i afsnit 12, er direkte adgang til udvalgte myndighedsregistre, således at det fulde datasæt overføres til PET.

Efter den gældende PET-lov kan PET forlange at få oplysninger udleveret fra andre forvaltningsmyndigheder, hvis der er en konkret formodning om, at oplysningerne vil have betydning for PET’s opgavevaretagelse. PET kan både indhente oplysninger om navngivne personer og grupper af ikke-identificerede personer, for eksempel alle personer der har rettet henvendelse til forvaltningsmyndigheden. Hvis der indhentes oplysninger om grupper af ukendte personer, skal PET dog hurtigst muligt vurdere, om disse personer har relevans for tjenestens opgavevaretagelse, og slette de modtagne personoplysninger i det omfang at det ikke er tilfældet.

Forslaget om at overføre udvalgte myndighedsregistre direkte til PET og behandle dem som store datasæt (bulk data) til analyseformål, vil som minimum fjerne den nuværende forpligtelse for PET til at foretage en individuel relevansvurdering, når der modtages oplysninger om grupper af ukendte personer. I stedet kan PET opbevare alle modtagne oplysninger som rådata og bruge dem til fremtidige fiskeekspeditioner, hvor ukendte målpersoner (nålen i høstakken) søges identificeret.

I TET’s seneste årsredegørelse vedr. PET kan man læse, at PET indhenter oplysninger om psykiatriske diagnoser fra sundhedsmyndigheder. Den information kommer kun frem, fordi PET i seks tilfælde ikke overholdte de interne regler for forudgående godkendelse. Uanset om formalia for den interne godkendelse overholdes eller ej, er det stærkt bekymrende, at PET aktivt snager i borgernes sundhedsjournaler. Det kan meget let have en dæmpende effekt på borgernes villighed til at henvende sig til det psykiatriske behandlingssystem, hvis de derved risikerer at have i en stor PET-database, hvor indgribende dataanalyser efterfølgende bruges til at vurdere, om de er til fare for samfundet.

Jesper Lund er formand for IT-politisk Forening. Foreningen er dannet på baggrund af et ønske om at styrke borgernes rettigheder og frihed i informationssamfundet. Foreningen ønsker at modarbejde den stigende overvågning i både den private og den offentlige sektor, samt den øgede kontrol af borgerne, som centrale databaser med persondata giver mulighed for. 

Kom til debat med faderen, der startede Chromebook-sagen
Digitalisering

Kom til debat med faderen, der startede Chromebook-sagen

Jesper Graugaard startede hele Chromebook-sagen, der tog Helsingør Kommune på sengen tæt på skolestart. Her fortæller han om sin aktivisme, og vi tager den større debat om cloud-løsninger, privacy-problemer og tredjelandsoverførsler.

AFLYTTET #1: Pegasus og den forcromede bog
Ind i algoritmen

AFLYTTET #1: Pegasus og den forcromede bog

Her er den første udgave af det nye Aflyttet, som Radar og Anders Kjærulff har genstartet med den garvede techkritiker og journalist bag mikrofonen. Denne gang tester vi aktivisters telefoner for Pegasus og dykker ned i Chromebook-sagen og mere.